NSA的Windows漏洞军火库泄漏：多个零日、利用工具可直接使用

周五释出的数据，接近300MB大小。Shadow Brokers称数据偷自NSA，里边有可直接使用的多版本Windows系统漏洞利用工具，含Windows 8和2012；还有一个类似Metasploit的攻击框架Fuzzbunch，用于执行具体攻击操作。

加密版本只有不到200MB

审查内容的安全专家表示，这是Shadow Brokers迄今为止公布数据中最具破坏性的漏洞军火库。

“任何下载的人都可以使用这批攻击工具，尤其是其中一些还是零日漏洞，没有补丁，可以直接远程命令执行。”安全专家之一、Hacker House联合创始人Matthew Hickey进一步解释道。

Windows零日漏洞

Hickey发现，泄漏数据中的Windows零日漏洞之一Eternalblue，利用服务器消息块和NetBT协议之中的缺陷，可以在最新的Windows 2008 R2系统上远程命令执行；而另一个被称作Eternalromance的黑客工具，有易操作界面和完美代码，它直接利用TCP协议的139、445端口进行攻击，漏洞成因未知。此次数据中以“eternal”（永恒）开头命名的工具，均利用了Windows桌面和服务器系统的未知漏洞。

显示Eternalromance代码的电脑桌面

Hickey目前记录的工具列表如下：

ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)

ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012

ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)

EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003

EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit

ETERNALSYNERGY — Windows 8 and Windows Server 2012

FUZZBUNCH — Exploit Framework (Similar to Metasploit) for the exploits.

黑进银行

本次泄漏数据的另一部分，是可以黑掉银行的攻击代码，特别针对中东地区的银行。根据安全专家、Cloud Volumes联合创始人Matt Suiche的分析，代号“Jeepflea_Market”的代码曾经在2013年黑过中东地区最大SWIFT机构EastNets。EastNets负责监督当地SWIFT网络中的具体交易行为是否有反洗钱等行为。除了特定服务器的详实数据外，泄漏数据还包括专用工具，比如从Oracle数据库提取数据库用户列表、SWIFT消息查询数据的工具。

Suiche称，这些工具可以让NSA黑掉监督具体交易行为的SWIFT机构，以查找和恐怖分子相关的交易。“考虑到SWIFT机构数据本来就少（120），并且很容易黑掉（比如每家银行一个IP），目前到底有多少个已经被黑掉了呢？”

Suiche还发现，有证据显示巴勒斯坦地区的Al Quds发展与投资银行曾经被特别关照过。

除了Windows零日漏洞、黑进银行的攻击代码外，泄漏数据里还包括“Oddjob”软件，这是一种通过HTTP传输控制来入侵电脑的植入工具和后门。

形势愈加严峻

通过持续公布泄漏数据，Shadow Brokers牢牢吸引住美国和世界各地情报部门的关注。在过往几次，他们还公布过可黑掉思科防火墙的零日漏洞。安全公司卡巴斯基的研究人员证实，他们分析过泄漏数据具有方程式组织的独有签名。方程式组织被认为是由NSA赞助的黑客团队，在进行着最先进的黑客行动。今年1月，Shadow Brokers在一次煽动性言论后宣布暂停运转，周五这次披露暗示着他们显然还有更多秘密数据。

Shadow Brokers出现后，NSA在内部严查，至少逮捕了一家被指控偷走NSA黑客工具的供应商。但到现在为止，还没有证据可以将被逮捕人员和Shadow Brokers联系起来。再次披露使形势变得更加严峻，无疑打乱许多政府部门和下属承包商的假日计划。